JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月22日、「JVNVU#97456009: Hitachi ABB Power Grids 製 Ellipse APM におけるクロスサイトスクリプティングの脆弱性」において、Hitachi ABB Power Gridsが提供する設備パフォーマンス管理用ソフトウェア「Ellipse APM」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、認証済みユーザーまたは統合アプリケーションによって、不正なデータを仕込まれたアプリケーションをユーザーのWebブラウザにおいて実行される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- Stored XSS vulnerability in Ellipse APM - CVE-2021-27887 - Hitach ABB Power Grids
- Hitachi ABB Power Grids Ellipse APM | CISA
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Ellipse APM version 5.3.0.1およびこれよりも前のバージョン
- Ellipse APM version 5.2.0.3およびこれよりも前のバージョン
- Ellipse APM version 5.1.0.6およびこれよりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Ellipse APM version 5.3.0.2
- Ellipse APM version 5.2.0.4
- Ellipse APM version 5.1.0.7
-
Stored XSS vulnerability in Ellipse APM - CVE-2021-27887 - Hitach ABB Power Grids
この脆弱性は遠隔からの操作が可能、かつ、攻撃するための複雑さが低いと評価されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。
WordPress人気プラグインに脆弱性、300万サイトに影響のリスク
